Megalodon napad: Hakerski pohod kroz 5.500 GitHub repozitorijuma
Masivna Megalodon kampanja je ubacila 5.718 malicioznih izmena u 5.561 GitHub repozitorijuma koristeći ukrađene kredencijale.
Šta se desilo?
Tokom šestočasovnog perioda 18. maja, hakerska grupa je izvršila masivnu automatizovanu kampanju za kompromitovanje GitHub repozitorijuma. Napadači su iskoristili ukradene kredencijale kako bi ubacili 5.718 malicioznih izmena koda u 5.561 javnih repozitorijuma, pri čemu su se predstavljali kao legitimni CI/CD procesi. Maliciozni commit sa oznakom "acac5a9" je sačinjen tako da izgleda kao rutinska zaštita, sa lažnim autentifikatorima kao "build-bot" ili "auto-ci".
Koga pogađa?
Napadu su izloženi razvijači i organizacije koje koriste GitHub Actions za kontinuiranu integraciju i dostavljanje. Posebno ugroženi su projekti koji čuvaju osetljive kredencijale u okruženju CI/CD, kao što su AWS ključevi, SSH ključevi, Kubernetes konfiguracije, GitHub OIDC tokeni i ostale tajne vrednosti. Među najznačajnije žrtve spadaju Wiznet ioLibrary Driver, Tiledesk platforme i persian-tools projekti.
Kako se zaštititi?
- Redovno pregledajte GitHub Actions karticu u svojim repozitorijumima i tragajte za neočekivanim workflow_dispatch pokretanjima
- Ako koristite OIDC federaciju za Cloud pristupe, hitno pregledajte cloud audit logove i identifikujte zahteve za token iz nepoznatih workflow pokretanja
- Rotatirajte sve Personal Access Token-e (PAT) i deploy ključeve koji su mogli biti izloženi
- Promenite sve kredencijale (AWS, GCP, SSH, Kubernetes) koji se koriste u CI/CD okruženju
- Implementirajte pravilnu kontrolu pristupa i zahtevajte dodatnu autentifikaciju za kritične operacije
- Proučite objavljene indikatore kompromitovanja i proverite vaše logove za povezanu malicioznu aktivnost
Tehnički detalji
Kampanja poznata kao Megalodon koristila je dva varijanta payload-a. Prvi, "SysDiag", je sadržao obfuskovane bash payload-e direktno u workflow datotekama koji se automatski pokretaju na svaki push ili pull request. Drugi varijanta, "Optimize-Build", je koristila workflow_dispatch mehanizam za selektivnu aktivaciju malicioznog koda samo kada je bilo potrebno. Oba varijanta su ciljala na AWS i GCP kredencijale, SSH ključeve, Kubernetes konfiguracije, GitHub OIDC tokene i druge tajne vrednosti iz okruženja. Ukradeni podaci su slati na server 216.126.225.129:8443. SafeDep je objavilo listu IOC indikatori kao što su C2 server, nazivi kompromitovanih repozitorijuma, lažni identiteti autora i poruke commit-a.
Preporuka Sajber Radara
Ova kampanja predstavlja ozbiljnu pretnju za ekosistem razvoja softvera. Neophodno je da sve organizacije koje koriste GitHub Actions hitno proveravaju svoje workflow datoteke, rotiraju sve izložene kredencijale i pojačaju kontrolu pristupa na svojim repozitorijumima. Otvoreni kod i transparentnost GitHub platforme čine je lakšom za automatizovane napade - budite posebno oprezniji sa pravima commit-a.